Reactieve aanpak belemmert digitale veiligheid van bedrijven
Organisaties zijn eerder reactief dan proactief als het gaat om het opzetten van hun cyberbeveiliging. Een reactief beleid maakt het vaststellen van de waarde van cybersecurityinvesteringen en daarop afstemmen van de bedrijfsresultaten echter lastig.
Dit blijkt uit een nieuw onderzoek van Forrester Consulting in opdracht van WithSecure, voorheen bekend als F-Secure Business. 83% van de in het onderzoek ondervraagde respondenten is geïnteresseerd in resultaatgerichte beveiligingsoplossingen en -diensten, is van plan deze in te voeren of breidt ze uit. Uit het onderzoek blijkt tegelijkertijd echter ook dat de meeste organisaties cyberbeveiliging momenteel reactief benaderen. 60% van de respondenten zegt te reageren op individuele cyberbeveiligingsproblemen wanneer deze zich voordoen.
Er zijn flinke verschillen per sector zichtbaar. Zo benadrukt 71% van de maakindustrie reactief te werk te gaan. Binnen de sterk gereguleerde financiële dienstensector ligt dit percentage op iets meer dan de helft.
Respondenten noemen reactieve aanpak problematisch
Ongeacht de sector vindt de overgrote meerderheid van de respondenten dat de reactieve aanpak problematisch is voor hun organisaties. 90% van hen stelt te worstelen met uitdagingen wanneer zij reageren op cyberbeveiligingsproblemen. Dit ondanks het feit dat de budgetten voor cyberbeveiliging stijgen. Zo bevestigt 71% van de respondenten elk jaar meer uit te geven aan cybersecurity.
Zichtbaarheid van cyberrisico's, het vinden van de vereiste vaardigheden en middelen, en snel en doeltreffend reageren zijn de meest voorkomende uitdagingen die respondenten noemen.
Investeringen leveren niet altijd het gewenste resultaat op
"Tegenwoordig zijn de meeste investeringen in cyberbeveiliging gericht op het verminderen van cyberrisico's. Echter, de risico’s die worden ingeperkt zijn vaak niet de meest essentiële voor het bereiken van de gewenste bedrijfsresultaten. Investeringen leiden dus niet per se tot betere bedrijfsresultaten of cyberbeveiliging krijgt helemaal niet de juiste financiering", legt Christine Bejerasco (foto), Chief Security Officer van WithSecure, uit.
Volgens het Forrester-onderzoek is outcome-based cybersecurity een aanpak die bedrijfsleiders in staat stelt cybersecurity te vereenvoudigen door alleen die mogelijkheden te benutten die meetbaar de gewenste resultaten opleveren, in tegenstelling tot traditionele bedreigings-, activiteiten- of ROI-gebaseerde methodes.
Gewenste resultaten variëren
De meest voorkomende resultaten die de respondenten met de beveiliging wilden bereiken, waren onder meer risicobeheer. 44% van de respondenten wilde het risico beperken om hun belangrijkste doelstellingen op het gebied van cyberbeveiliging te bereiken. 40% verwacht dat een goede beveiliging de klantervaring zou verbeteren. 34% tot slot noemt inkomstengroei als het gewenste resultaat.
Hoewel veel respondenten duidelijke resultaten voor ogen hadden, beweerde slechts één op de vijf organisaties dat de prioriteiten op het gebied van cyberbeveiliging en de bedrijfsresultaten volledig op elkaar waren afgestemd.
Obstakels
Tegelijkertijd zijn er tal van obstakels die de inspanningen om cyberbeveiliging af te stemmen op bedrijfsresultaten bemoeilijken. Denk aan het beheer van een complexe IT-omgeving, het omgaan met conflicterende cyberbeveiligings- en bedrijfsdoelstellingen en het handhaven van de gewenste resultaten van detectietechnologieën.
Maar ook de beoordeling van de mate waarin beveiligingsprioriteiten de bedrijfsresultaten ondersteunen noemt WithSecure problematisch. Belangrijke uitdagingen die respondenten noemen zijn onder meer:
- 42% had onvoldoende inzicht in de huidige en beoogde maturiteit waaraan de beveiligingswaarde moet worden getoetst.
- 37% had problemen met het meten van de waarde van cyberbeveiliging.
- 36% had moeite met het vastleggen van consistente en zinvolle gegevens.
- 28% ondervond problemen bij het overwinnen van de beveiligingsparadox bij het communiceren van waarde (investeringen in effectieve beveiliging leiden tot minder mogelijkheden om waarde aan te tonen).
- 23% ondervond uitdagingen bij het omzetten van cyberbeveiligingscijfers naar een relevante briefing voor het bestuur.
Meer informatie is beschikbaar in het onderzoeksrapport 'The Value Of Putting Security Outcomes First: Rethink Cybersecurity To Amplify Resilience, Productivity, And Competitiveness'.